Copie une AMI - Amazon Elastic Compute Cloud

Copie une AMI

Vous pouvez copier une Amazon Machine Image (AMI) au sein d'une région AWS ou de plusieurs régions à l'aide d'AWS Management Console, de l'AWS Command Line Interface ou des kits SDK, ou encore de l'API Amazon EC2, qui prennent tous en charge l'action CopyImage. Vous pouvez copier à la fois les AMIs basées sur Amazon EBS et les AMIs basées sur le stockage d'instance. Vous pouvez copier les AMI avec des instantanés chiffrés et également modifier le statut de chiffrement pendant le processus de copie.

La copie d'une AMI source crée une AMI cible identique mais distincte, avec son propre identificateur unique. Dans le cas d'une AMI basée sur des volumes Amazon EBS, chacun de ses instantanés est, par défaut, copié dans un instantané cible identique mais distinct. (Les seules exceptions correspondent aux cas où vous choisissez de chiffrer ou de rechiffrer l'instantané.) Vous pouvez modifier ou annuler l'enregistrement d'une AMI source sans que cela ait un impact sur l'AMI cible. L'inverse est également vrai.

Vous n'êtes pas facturé pour la copie d'une AMI. Toutefois, les taux standard de stockage et de transfert de données s'appliquent. Si vous copiez une AMI basée sur EBS, des frais seront facturés pour le stockage de tout instantané EBS supplémentaire.

AWS ne copie pas les autorisations de lancement, les balises définies par l'utilisateur ou les permissions de compartiment Amazon S3 de l'AMI source vers la nouvelle AMI. Une fois la copie terminée, vous pouvez appliquer les autorisations de lancement, les balises définies par l'utilisateur et les permissions de compartiment Amazon S3 à la nouvelle AMI.

Si vous utilisez une AMI AWS Marketplace ou une AMI dérivée directement ou indirectement d'une AMI AWS Marketplace, vous ne pouvez pas la copier d'un compte à un autre. À la place, lancez une instance EC2 en utilisant l'AMI d'AWS Marketplace, puis créez une AMI à partir de cette instance. Pour plus d'informations, consultez Création d'une AMI Linux basée sur Amazon EBS.

Autorisations nécessaires pour copier une AMI basée sur le stockage d'instance

Si vous utilisez un utilisateur IAM pour copier une AMI basée sur le stockage d'instance, l'utilisateur doit disposer des autorisations Amazon S3 suivantes : s3:CreateBucket, s3:GetBucketAcl, s3:ListAllMyBuckets, s3:GetObject, s3:PutObject et s3:PutObjectAcl.

L'exemple de stratégie suivant permet à l'utilisateur de copier l'AMI source dans le compartiment spécifié de la région spécifiée.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": [ "arn:aws:s3:::*" ] }, { "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::ami-source-bucket/*" ] }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketAcl", "s3:PutObjectAcl", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amis-for-123456789012-in-us-east-1*" ] } ] }

Pour trouver le nom de ressource Amazon (ARN) du compartiment source AMI, ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/, dans le volet de navigation, choisissez AMI, et recherchez le nom du compartiment dans la colonne Source .

Note

L'autorisation s3:CreateBucket n'est requise que la première fois que l'utilisateur IAM copie un magasin d'instance sauvegardé AMI dans une région donnée. Après cela, le compartiment Amazon S3 qui est déjà créé dans la région est utilisé pour stocker tous les futurs AMIs que vous copiez dans cette région.

Copie entre régions

La copie d'une AMI entre différentes régions géographiques offre les avantages suivants :

  • Déploiement international uniforme : la copie d'une AMI d'une région à l'autre vous permet de lancer des instances uniformes reposant sur la même AMI dans différentes régions.

  • Évolutivité : vous pouvez plus facilement concevoir et créer des applications d'envergure internationale répondant aux besoins de vos utilisateurs, quel que soit l'emplacement.

  • Performances : vous pouvez accroître les performances en distribuant votre application, ainsi qu'en recherchant les composants critiques de votre application plus près de vos utilisateurs. Vous pouvez également bénéficier de fonctions propres aux régions, par exemple les types d'instance ou d'autres services AWS.

  • Disponibilité élevée : vous pouvez concevoir et déployer des applications dans différentes régions AWS afin d'accroître leur disponibilité.

Le diagramme suivant représente les relations entre une AMI source et deux AMIs copiées dans différentes régions, ainsi que les instances EC2 lancées à partir de chacune d'entre elles. Lorsque vous lancez une instance à partir d'une AMI, elle se trouve dans la même région que l'AMI. Si vous modifiez l'AMI source et que vous souhaitez faire apparaître ces modifications dans les AMIs des régions cibles, vous devez recopier l'AMI source dans les régions cibles.


				AMI copiées dans différentes régions

La première fois que vous copiez une AMI basée sur le stockage d'instance dans une région, nous créons un compartiment Amazon S3 pour les AMIs copiées dans cette région. Toutes les AMIs basées sur le stockage d'instance que vous copiez dans cette région sont stockées dans ce compartiment. Les noms des compartiments ont le format suivant : amis-for-account-in-region-hash. Par exemple : amis-for-123456789012-in-us-east-2-yhjmxvp6.

Prérequis

Avant de copier une AMI, vous devez veiller à ce que le contenu de l'AMI source ait été mis à jour afin de pouvoir être exécuté dans une région différente. Par exemple, vous devez mettre à jour toutes les chaînes de connexion à la base de données ou des données de configuration d'application similaires de façon à ce qu'elles pointent vers les ressources appropriées. Sinon, les instances lancées depuis la nouvelle AMI dans la région de destination seraient susceptibles d'utiliser encore les ressources de la région source, ce qui aurait des répercussions sur les performances et le coût.

Limites

  • Les régions de destination sont limitées à 50 copies d'une AMI à la fois.

  • Vous ne pouvez pas copier une AMI paravirtuelle (PV) vers une région qui ne prend pas en charge les AMI PV. Pour plus d'informations, consultez Types de virtualisation AMI Linux.

Copie entre comptes

Vous pouvez partager une AMI avec un autre compte AWS. Le partage d'une AMI n'affecte pas la propriété de celle-ci. Le compte propriétaire est facturé pour le stockage dans la région. Pour plus d'informations, consultez Partager une AMI avec des comptes AWS spécifiques.

Si vous copiez une AMI qui a été partagée avec votre compte, vous êtes le propriétaire de l'AMI cible de votre compte. Le propriétaire de l'AMI source se voir facturer des frais standard de transfert Amazon EBS ou Amazon S3, et vous devez régler le stockage de l'AMI cible dans la région de destination.

Autorisations d'accès aux ressources

Pour copier une AMI qui a été partagée avec vous à partir d'un autre compte, le propriétaire de l'AMI source doit vous accorder des autorisations de lecture pour le stockage sur lequel est basée l'AMI, soit l'instantané EBS associé (pour une AMI basée sur Amazon EBS) soit un compartiment S3 associé (pour une AMI basée sur le stockage d'instance). Si l'AMI partagée comporte des instantanés chiffrés, le propriétaire doit également partager la ou les clé(s) avec vous.

Chiffrement et copie

Le tableau suivant représente la prise en charge du chiffrement dans divers cas de figure de copie d'AMI. Bien qu'il soit possible de copier un instantané non chiffré pour créer un instantané chiffré, vous ne pouvez pas copier un instantané chiffré et en créer un qui ne soit pas chiffré.

Scénario Description Pris en charge
1 Non chiffré vers non chiffré Oui
2 Chiffré vers chiffré Oui
3 Non chiffré vers chiffré Oui
4 Chiffré vers non chiffré Non
Note

Le chiffrement pendant l'action CopyImage s'applique uniquement aux AMIs basées sur Amazon EBS. Dans la mesure où une AMI basée sur le stockage d'instance ne s'appuie pas sur les instantanés, vous ne pouvez pas utiliser la copie pour modifier son statut de chiffrement.

Par défaut (à savoir, sans spécifier les paramètres de chiffrement), l'instantané sur lequel repose une AMI est copié avec son statut de chiffrement initial. La copie d'une AMI reposant sur un instantané non chiffré crée un instantané cible identique qui n'est pas chiffré non plus. Si l'AMI source repose sur un instantané chiffré, sa copie crée un instantané cible identique qui est chiffré avec la même clé principale client (CMK). La copie d'une AMI basée sur plusieurs instantanés conserve, par défaut, le statut de chiffrement source dans chaque instantané cible.

Si vous spécifiez les paramètres de chiffrement lors de la copie d'une AMI, vous pouvez chiffrer ou rechiffrer ses instantanés. L'exemple suivant montre un cas (non par défaut) qui fournit les paramètres de chiffrement à l'action CopyImage dans le but de modifier l'état de chiffrement de l'AMI cible.

Copier une AMI source non chiffrée vers une AMI cible chiffrée

Dans ce scénario, une AMI basée sur un instantané racine non chiffré est copiée sur une AMI comportant un instantané racine chiffré. L'action CopyImage est appelée avec deux paramètres de chiffrement, notamment une clé CMK. Par conséquent, le statut de chiffrement de l'instantané racine est modifié. L'AMI cible est donc basée sur un instantané racine contenant les mêmes données que l'instantané source, mais chiffré à l'aide de la clé spécifiée. Vous payez des coûts de stockage pour les instantanés dans les deux AMIs, ainsi que des frais pour les instances que vous lancez à partir de l'une ou l'autre de ces AMI.

Note

L'activation du chiffrement par défaut a le même effet que la définition du paramètre Encrypted sur true pour tous les instantanés de l'AMI.


		Copier l'AMI et chiffrer l'instantané à la volée

La définition du paramètre Encrypted chiffre l'unique instantané pour cette instance. Si vous ne spécifiez pas le paramètre KmsKeyId, la clé CMK par défaut est utilisée pour chiffrer la copié d'instantané.

Pour plus d'informations sur la copie d'AMIs avec des instantanés chiffrés, consultez Utiliser le chiffrement avec des AMI basées sur EBS.

Copie d'une AMI

Vous pouvez copier une AMI comme suit.

Prérequis

Créez ou obtenez une AMI basée sur un instantané Amazon EBS. Notez que vous pouvez utiliser la console Amazon EC2 pour effectuer une recherche parmi une grande variété d'AMI fournies par AWS. Pour de plus amples informations, veuillez consulter Création d'une AMI Linux basée sur Amazon EBS et Recherche d'une AMI.

Pour copier une AMI à l'aide de la console

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans la barre de navigation de la console, sélectionnez la région comportant l'AMI. Dans le panneau de navigation, choisissez Images, puis AMI afin d'afficher la liste des AMIs disponibles pour vous dans la région.

  3. Sélectionnez l'AMI à copier, puis choisissez Actions et Copier l'AMI.

  4. Dans la boîte de dialogue Copier l'AMI, spécifiez les informations suivantes, puis choisissez Copier l'AMI :

    • Région de destination) : région dans laquelle vous souhaitez copier l'AMI.

    • Nom : nom de la nouvelle AMI. Vous pouvez inclure des informations sur le système d'exploitation dans le nom, car nous ne fournissons pas ces informations lors de l'affichage des détails relatifs à l'AMI.

    • Description : par défaut, la description inclut des informations sur l'AMI source afin que vous puissiez identifier une copie à partir de l'original. Vous pouvez modifier cette description si nécessaire.

    • Chiffrement : sélectionnez ce champ pour chiffrer les instantanés ou pour les rechiffrer à l'aide d'une clé différente. Si vous avez activé le chiffrement par défaut, l'option Chiffrement est activée et ne peut pas être désactivée depuis la console AMI.

    • Clé principale : clé KMS utilisée pour chiffrer les instantanés cibles.

  5. Nous affichons une page de confirmation pour vous avertir que l'opération de copie a été lancée et pour vous communiquer l'ID de la nouvelle AMI.

    Pour vérifier la progression de l'opération de copie immédiatement, suivez le lien fourni. Pour vérifier la progression ultérieurement, choisissez Effectué puis, une fois que vous êtes prêt, utilisez la barre de navigation afin de passer à la région cible (le cas échéant) et de rechercher l'AMI dans la liste des AMI.

    Le statut initial de l'AMI cible est pending et l'opération est terminée lorsque le statut est available.

Pour copier une AMI à l'aide de l'AWS CLI

Vous pouvez copier une AMI à l'aide de la commande copy-image. Vous devez indiquer les régions source et de destination. Vous spécifiez la région source à l'aide du paramètre --source-region. Vous pouvez spécifier la région de destination à l'aide du paramètre --region ou d'une variable d'environnement. Pour plus d'informations, consultez Configuration de l'interface de ligne de commande AWS.

Lorsque vous chiffrez un instantané cible pendant la copie, vous devez spécifier ces paramètres supplémentaires : --encrypted et --kms-key-id.

Pour copier une AMI à l'aide des Outils pour Windows PowerShell

Vous pouvez copier une AMI à l'aide de la commande Copy-EC2Image. Vous devez indiquer les régions source et de destination. Vous spécifiez la région source à l'aide du paramètre -SourceRegion. Vous pouvez spécifier la région de destination à l'aide du paramètre -Region ou de la commande Set-AWSDefaultRegion. Pour plus d'informations, consultez Spécification des régions AWS.

Lorsque vous chiffrez un instantané cible pendant la copie, vous devez spécifier ces paramètres supplémentaires : -Encrypted et -KmsKeyId.

Arrêt d'une opération de copie d'une AMI en attente

Vous pouvez arrêter une copie d'AMI en attente comme suit.

Pour arrêter l'opération de copie d'une AMI à l'aide de la console

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans la barre de navigation, sélectionnez la région de destination dans le sélecteur de régions.

  3. Dans le panneau de navigation, sélectionnez AMI.

  4. Sélectionnez l'AMI à arrêter de copier et choisissez Actions et Annuler l'inscription.

  5. Lorsque vous êtes invité à confirmer l'opération, choisissez Continuer.

Pour arrêter une opération de copie d'une AMI à l'aide de la ligne de commande

Vous pouvez utiliser l'une des commandes suivantes. Pour obtenir plus d'informations sur les CLI (interface ligne de commande), consultez le didacticiel Accès à Amazon EC2.